Restrictions de client universel

Les restrictions liées au locataire universelles améliorent la fonctionnalité de restriction liée au locataire v2 à l’aide de Global Secure Access (préversion) pour baliser tout le trafic, quel que soit le système d’exploitation, le navigateur ou le facteur de forme de l’appareil. Cela permet la prise en charge de la connectivité cliente et réseau distante. Les administrateurs n’ont plus besoin de gérer les configurations de serveur proxy ou les configurations réseau complexes.

Les restrictions liées au locataire universelles effectuent cette application à l’aide de la signalisation de stratégie basée sur Global Secure Access pour l’authentification et le plan de données. Les restrictions liées au locataire v2 permettent aux entreprises d’empêcher l’exfiltration de données par les utilisateurs utilisant des identités de locataire externes pour les applications intégrées Microsoft Entra, telles que Microsoft Graph, SharePoint Online et Exchange Online. Ces technologies fonctionnent ensemble pour empêcher l’exfiltration des données de manière universelle sur tous les appareils et réseaux.

Diagram showing how tenant restrictions v2 protects against malicious users.

Le tableau suivant explique les étapes effectuées à chaque point du diagramme précédent.

Étape Description
1 Contoso configure une stratégie Restrictions liées au locataire v2 dans les paramètres d'accès interlocataire afin de bloquer tous les comptes et les applications externes. Contoso applique la stratégie à l’aide des restrictions liées au locataire universelles Global Secure Access.
2 Un utilisateur disposant d’un appareil géré par Contoso tente d’accéder à une application intégrée Microsoft Entra avec une identité externe non approuvée.
3 Protection du plan d’authentification : à l’aide de l’ID Microsoft Entra, la stratégie de Contoso empêche les comptes externes non approuvés d’accéder aux locataires externes.
4 Protection du plan de données : si l'utilisateur tente à nouveau d'accéder à une application non approuvée externe en copiant un jeton de réponse d'authentification obtenu hors du réseau de Contoso et en le collant dans l'appareil, il est bloqué. La non-concordance des jetons déclenche une nouvelle authentification et bloque l’accès. Pour SharePoint Online, toute tentative d’accès anonyme à des ressources et pour Microsoft Teams, toute tentative de participation anonyme à des appels sera bloquée.

Les restrictions liées au locataire universelles permettent d’empêcher l’exfiltration des données entre les navigateurs, les appareils et les réseaux des manières suivantes :

  • Elle permet aux applications Microsoft Entra ID, Microsoft Accounts et Microsoft 365 de rechercher et d’appliquer la stratégie de restrictions des locataires v2 associée. Cette recherche permet une application de stratégie cohérente.
  • Fonctionne avec toutes les applications tierces intégrées Microsoft Entra au niveau du plan d’authentification lors de la connexion.
  • Fonctionne avec Exchange, SharePoint et Microsoft Graph pour la protection du plan de données.

Prérequis

  • Les administrateurs interagissant avec les fonctionnalités Global Secure Access (préversion) doivent avoir une ou plusieurs des attributions de rôles suivantes en fonction des tâches qu’ils effectuent.
  • La préversion nécessite une licence Microsoft Entra ID P1. Si nécessaire, vous pouvez acheter des licences ou obtenir des licences d’essai.

Limitations connues

  • Si vous avez activé des restrictions liées au locataire universelles et que vous accédez au Centre d’administration Microsoft Entra pour l’un des locataires listés autorisés, une erreur « Accès refusé » peut s’afficher. Ajoutez l’indicateur de fonctionnalité suivant au Centre d’administration Microsoft Entra :
    • ?feature.msaljs=true&exp.msaljsexp=true
    • Par exemple, vous travaillez pour Contoso et vous avez autorisé Fabrikam en tant que locataire partenaire. Vous pouvez voir le message d’erreur pour le Centre d’administration Microsoft Entra du locataire Fabrikam.
      • Si vous avez reçu le message d’erreur « Accès refusé » pour cette URL : https://entra.microsoft.com/, ajoutez l’indicateur de fonctionnalité comme suit : https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

Outlook utilise le protocole QUIC pour certaines communications. Actuellement, nous ne prenons pas en charge le protocole QUIC. Les organisations peuvent utiliser une stratégie de pare-feu pour bloquer QUIC et revenir au protocole non-QUIC. La commande PowerShell suivante crée une règle de pare-feu pour bloquer ce protocole.

@New-NetFirewallRule -DisplayName "Block QUIC for Exchange Online" -Direction Outbound -Action Block -Protocol UDP -RemoteAddress 13.107.6.152/31,13.107.18.10/31,13.107.128.0/22,23.103.160.0/20,40.96.0.0/13,40.104.0.0/15,52.96.0.0/14,131.253.33.215/32,132.245.0.0/16,150.171.32.0/22,204.79.197.215/32,6.6.0.0/16 -RemotePort 443 

Configurer la stratégie Restrictions liées au locataire v2

Avant qu’une organisation puisse utiliser des restrictions liées au locataire universelles, elle doit configurer les restrictions liées au locataire par défaut et les restrictions liées au locataire pour des partenaires spécifiques.

Pour plus d’informations sur la configuration de ces stratégies, consultez l’article Configurer les restrictions liées au locataire V2 (préversion).

Screenshot showing a sample tenant restriction policy in the portal.

Activer l’étiquetage pour les restrictions liées au locataire v2

Une fois que vous avez créé les stratégies de restriction liée au locataire v2, vous pouvez utiliser Global Secure Access pour appliquer le balisage pour les restrictions liées au locataire v2. Un administrateur disposant des rôles Administrateur Global Secure Access et Administrateur de la sécurité doit effectuer les étapes suivantes pour activer l’application avec Global Secure Access.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur Global Secure Access.
  2. Accédez à Global Secure Access>Paramètres globaux>Gestion des sessions>Restrictions liées au locataire.
  3. Sélectionnez le bouton bascule pour Activer l’étiquetage pour appliquer des restrictions de locataire sur votre réseau.
  4. Sélectionnez Enregistrer.

Screenshot showing the toggle to enable tagging.

Essayez les restrictions liées au locataire universelles avec SharePoint Online.

Cette fonctionnalité fonctionne de la même façon pour Exchange Online et Microsoft Graph dans les exemples suivants, nous expliquons comment la voir en action dans votre propre environnement.

Essayez le chemin d’authentification :

  1. Avec les restrictions liées au locataire universelles désactivées dans les paramètres globaux Global Secure Access.
  2. Accédez à SharePoint Online, https://yourcompanyname.sharepoint.com/, avec une identité externe qui n’est pas autorisée dans une stratégie de restrictions liées au locataire v2.
    1. Par exemple, un utilisateur Fabrikam dans le locataire Fabrikam.
    2. L’utilisateur Fabrikam doit pouvoir accéder à SharePoint Online.
  3. Activez les restrictions liées au locataire universelles.
  4. En tant qu’utilisateur final, avec le client Global Secure Access en cours d’exécution, accédez à SharePoint Online avec une identité externe qui n’a pas été explicitement autorisée.
    1. Par exemple, un utilisateur Fabrikam dans le locataire Fabrikam.
    2. L’utilisateur Fabrikam doit être empêché d’accéder à SharePoint Online avec un message d’erreur indiquant :
      1. L’accès est bloqué. Le service informatique de Contoso a restreint les organisations qui sont accessibles. Contactez le service informatique de Contoso pour y accéder.

Essayer le chemin des données

  1. Avec les restrictions liées au locataire universelles désactivées dans les paramètres globaux Global Secure Access.
  2. Accédez à SharePoint Online, https://yourcompanyname.sharepoint.com/, avec une identité externe qui n’est pas autorisée dans une stratégie de restrictions liées au locataire v2.
    1. Par exemple, un utilisateur Fabrikam dans le locataire Fabrikam.
    2. L’utilisateur Fabrikam doit pouvoir accéder à SharePoint Online.
  3. Dans le même navigateur avec SharePoint Online ouvert, accédez à Outils de développement ou appuyez sur F12 sur le clavier. Commencez à capturer les journaux réseau. Vous devriez voir État 200, lorsque tout fonctionne comme prévu.
  4. Vérifiez que l’option Conserver le journal est activée avant de continuer.
  5. Gardez la fenêtre du navigateur ouverte avec les journaux.
  6. Activez les restrictions liées au locataire universelles.
  7. En tant qu’utilisateur Fabrikam, dans le navigateur avec SharePoint Online ouvert, de nouveaux journaux s’affichent après quelques minutes. En outre, le navigateur peut s’actualiser en fonction de la demande et des réponses qui se produisent dans le back-end. Si le navigateur ne s’actualise pas automatiquement après quelques minutes, appuyez sur Actualiser sur le navigateur avec SharePoint Online ouvert.
    1. L’utilisateur Fabrikam voit que son accès est désormais bloqué avec le message :
      1. L’accès est bloqué. Le service informatique de Contoso a restreint les organisations qui sont accessibles. Contactez le service informatique de Contoso pour y accéder.
  8. Dans les journaux, recherchez un état 302. Cette ligne montre les restrictions liées au locataire universelles appliquées au trafic.
    1. Dans la même réponse, vérifiez dans les en-têtes les informations suivantes indiquant que des restrictions client universelles ont été appliquées :
      1. Restrict-Access-Confirm: 1
      2. x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"

Conditions d'utilisation

Votre utilisation des expériences et fonctionnalités des préversions d'Accès privé Microsoft Entra et d'Accès internet Microsoft Entra est régie par les conditions générales du service en ligne en préversion des contrats en vertu desquels vous avez obtenu les services. Les préversions peuvent être soumises à des engagements de sécurité, de conformité et de confidentialité réduits ou différents, comme expliqué plus en détail dans les Termes du contrat de licence universel pour les services en ligne et l'Addendum sur la protection des données des produits et services Microsoft (« DPA ») et dans tout autre avis fourni avec la préversion.

Étapes suivantes

L’étape suivante pour bien démarrer avec Accès Internet Microsoft Entra consiste à activer la signalisation Global Secure Access améliorée.

Pour plus d’informations sur les stratégies d’accès conditionnel pour Global Secure Access (préversion), consultez les articles suivants :